Mit der Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 1. und 2. Oktober 2013 „Forderungen für die neue Legislaturperio-de: Die Datenschutzgrundrechte stärken!“ (Anlage 3) machten die Datenschutzbe-auftragten darauf aufmerksam, dass in vielen gesellschaftlichen Bereichen durch ver-fassungskonforme Regelungen auf fehlenden Grundrechtsschutz dringend zu reagie-ren sei. Die rasante technologische Entwicklung und ausufernde Datensammlungen bei Unternehmen, Nachrichtendiensten und anderen Behörden stellen eine gewaltige Herausforderung für den Datenschutz dar. Gesetzliche Schutzvorkehrungen und Maßnahmen sind daher u. a. geboten im eingriffsintensiven Bereich der öffentlichen Sicherheit (vgl. Nr. 8.1, Anlage 1), im Sozial- und Gesundheitswesen (vgl. Nr. 11.1, Anlage 4) und bezüglich der Vertraulichkeit und Integrität elektronischer Kommuni-kation (vgl. Nr. 5.1, Anlage 5).
3.1.1 Datenschutz-Grundverordnung
Im XI. Tätigkeitsbericht (Nr. 3.1.1) berichtete der Landesbeauftragte von den Bestre-bungen zur Verabschiedung einer Europäischen Datenschutz-Grundverordnung.
Die endgültige Verabschiedung der Datenschutz-Grundverordnung gemeinsam mit der Richtlinie zum Schutz personenbezogener Daten durch die zuständigen Behör-den zum Zwecke der Verhütung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr soll voraus-sichtlich noch im ersten Quartal 2016 erfolgen. Das Trilogverfahren, in welchem sich Europäisches Parlament, Ministerrat und Europäische Kommission auf gemeinsame Formulierungen einigten, fand im Dezember 2015 seinen Abschluss. Somit werden beide Regelungen voraussichtlich ab Mitte 2018 zur Anwendung kommen.
Jeder Kompromiss, der in den Verhandlungen über eine Fassung der Grundverord-nung erörtert wurde, beinhaltete die Gefahr, dass dabei zentrale Datenschutzgrund-sätze ausgehebelt werden. Aus diesem Grunde hat die Konferenz der Datenschutz-beauftragten des Bundes und der Länder in ihrer Sitzung am 18. und 19. März 2015 auf wichtige Punkte hingewiesen und insbesondere Positionen des Ministerrates kri-tisiert (Anlage 28). Einige Kritikpunkte finden sich auch in Beschlüssen des Bundes-rates vom 28. November 2014 und 10. Juli 2015 (BR-Drs. 550/14 und 290/15).
Nachdem über 5000 Änderungswünsche für die Datenschutz-Grundverordnung ge-sichtet und bewertet wurden, konnten die Fassungen des Rates, der Kommission und des Parlamentes für eine Datenschutz-Grundverordnung nebeneinander in den sogenannten Trilogverhandlungen diskutiert werden. Im Wissen um diese entschei-dende Phase der Entstehung der Datenschutz-Grundverordnung haben sich die Da-tenschutzbeauftragten des Bundes und der Länder am 14. August 2015 nochmals auf ein Kernpunktepapier verständigt (Anlage 31).
Wesentliche materielle Inhalte der neuen Datenschutz-Grundverordnung betreffen die Regelung des „Rechts auf Vergessenwerden“, das Recht auf Datenportabilität, Regelungen zu „Privacy by Design, Privacy by Default“ und eine Verschärfung der Bußgeldvorschriften.
Die Datenschutz-Grundverordnung ersetzt als unmittelbar geltendes Recht voraus-sichtlich ab Mitte 2018 sowohl das BDSG (nicht-öffentlicher Bereich und Bundesbe-hörden) und das DSG LSA (öffentlicher Bereich des Landes). Lediglich in Teilberei-chen werden für den nationalen Gesetzgeber Öffnungsklauseln eingeräumt. Mit der Schaffung von neuen Rechtsgrundlagen, die mittels der Datenschutz-Grundverordnung dann einheitlich in ganz Europa gelten sollen, verändert sie auch Umfang und Qualität der Arbeit der Datenschutzaufsichtsbehörden und somit des Landesbeauftragten erheblich.
Der Landesbeauftragte ist gegenwärtig Aufsichtsbehörde für den nicht-öffentlichen Bereich (Wirtschaft, Freie Berufe, Privatpersonen etc.). Hinsichtlich des öffentlichen Bereichs ist er bislang Beschwerde- und Eingabestelle. Nach der Reform wird der Landesbeauftragte auch in diesem Bereich rechtlich als Aufsichtsbehörde gegenüber sämtlichen öffentlichen Stellen des Landes tätig sein. Dies schließt auch die Ministe-rien und die Landtagsverwaltung mit ein.
Gleichzeitig wird das bisherige Beanstandungsrecht im öffentlichen Bereich abgelöst von einer gerichtlich überprüfbaren Anweisungs- und Anordnungsbefugnis. Schon alleine diese Veränderung der Aufgaben und Befugnisse im öffentlichen Bereich wird zu erheblichen rechtlichen wie praktischen Verpflichtungen führen, die einen ent-sprechenden Personalaufwuchs zwingend erforderlich machen.
Für den Gesamtbereich des Datenschutzes werden folgende Aufgaben und wesent-liche Erweiterungen durch die Datenschutz-Grundverordnung geregelt:
Sofern Unternehmen keine Niederlassung in der EU haben, müssen sie we-gen des Marktortprinzips die Datenschutz-Grundverordnung anwenden. Da-mit ist die Aufsichtsbehörde zukünftig die Anlaufstelle für sämtliche Fragen im Zusammenhang mit der Einhaltung der Datenschutz-Grundverordnung im Rahmen der Tätigkeit dieser Unternehmen.
Datenschutz-Folgeabschätzung: Die Aufsichtsbehörde erstellt eine Liste von Verarbeitungsvorgängen, für die Datenschutz-Folgeabschätzungen durchzu-führen sind. Diese veröffentlicht und übermittelt sie an den Europäischen Da-tenschutzausschuss oder gibt alternativ eine Negativliste heraus. Soweit ein grenzüberschreitender Bezug festgestellt wird, ist das europäische Kohärenz-verfahren vor der Erstellung der Liste durchzuführen.
Vorherige Konsultation: Der Verantwortliche muss vor der Verarbeitung per-sonenbezogener Daten die Aufsichtsbehörde zu Rate ziehen, wenn sich aus der Datenschutz-Folgeabschätzung ein hohes Risiko ergibt und der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft. Die Aufsichtsbehörde hat grundsätzlich nach sechs Wochen (!) eine schriftliche Empfehlung zu geben, wenn sie der Auffassung ist, dass die ge-plante Datenverarbeitung nicht mit der Datenschutz-Grundverordnung in Übereinklang steht.
Die Neuregelung führt zu erweiterter Zusammenarbeit des betrieblichen bzw.
behördlichen Datenschutzbeauftragten mit der Aufsichtsbehörde.
Genehmigung von Verhaltensregeln zur ordnungsgemäßen Anwendung der Verordnung und deren Überwachung einschließlich der Akkreditierung geeig-neter Stellen und Abstimmung im Kohärenzverfahren.
Zukünftig wird der Landesbeauftragte Zertifizierungskriterien genehmigen und auch Zertifizierungen durchführen. Dies beinhaltet auch die regelmäßige Überprüfung der Zertifizierungen. Des Weiteren verpflichtet die Datenschutz-Grundverordnung die Aufsichtsbehörde dazu, die Einführung von Daten-schutzzertifizierungen, -siegeln und -prüfzeichen anzuregen.
Verbindliche unternehmensinterne Datenschutzvorschriften: Der Landesbe-auftragte wird zukünftig entsprechende Datenschutzvorschriften genehmigen und ggf. auch das Kohärenzverfahren europaweit durchführen.
Der Landesbeauftragte kann als Aufsichtsbehörde Standardvertragsklauseln (z. B. für die Auftragsdatenverarbeitung) im europäischen Kohärenzverfahren festlegen.
Regelung der Aufklärungsverpflichtung der Aufsichtsbehörde. Hierunter fallen Sensibilisierungs- und Aufklärungspflichten gegenüber der Öffentlichkeit und in besonderer Weise gegenüber Kindern, die Aufklärung der für die Verarbei-tung Verantwortlichen und der Auftragsdatenverarbeiter über deren Pflichten und schließlich die Information von betroffenen Personen über die Ausübung ihrer Rechte.
Die Abhilfebefugnisse werden erweitert. Erstmalig ist auch für den öffentlichen Bereich der Erlass von Anordnungen geregelt, um die Datenverarbeitung mit der Datenschutz-Grundverordnung in Einklang zu bringen.
Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und anderen betroffenen Aufsichtsbehörden (One-Stop-Shop): Formale Regelung der eu-ropaweiten Abstimmungs- und Kooperationsverpflichtung mit engem Zeitfens-ter (vier Wochen), die zu einem erheblichen Mehraufwand führen wird.
Verpflichtung zur gegenseitigen europaweiten Amtshilfe: Spätestens innerhalb eines Monats (!) nach Eingang des Ersuchens ist die Aufsichtsbehörde ver-pflichtet zu handeln.
Kohärenzverfahren und Beteiligung beim Europäischen Datenschutzaus-schuss: Im Rahmen des Kohärenzverfahrens sollen europaweit abgestimmte einheitliche rechtliche Bewertungen und praktische Verfahrensweisen be-schlossen werden. Auch hier sind kurze Fristen von einem Monat zu beach-ten.
Es wird die internationale Amtshilfe als neue Verpflichtung ausdrücklich gere-gelt.
Es bleibt abzuwarten, inwieweit der nationale Gesetzgeber den ihm eingeräumten Spielraum für verbleibendes nationales Datenschutzrecht (z. B. Beschäftigtendaten-schutz) nutzen wird. Die Anwendung der Datenschutz-Grundverordnung kann zu ei-ner erheblichen Unsicherheit bei der Auslegung des Datenschutzrechts führen. Zum einen sind Teile der Verordnung nicht so ausführlich ausgestaltet wie das bisherige nationale Datenschutzrecht. Zum anderen sind die bisherigen Regelungen, Arbeits-hilfen, Orientierungshilfen und Urteile nicht oder nur eingeschränkt verwendbar, weil sich die zugrunde liegenden Normen mit der Abschaffung der nationalen Regelungen verändern werden. Der Landesbeauftragte wird sowohl die Umstellung des Daten-schutzrechts als auch die Anpassung der Landesgesetze an die neuen europäischen Vorgaben aktiv begleiten müssen.
Neben der Datenschutz-Grundverordnung tritt auch noch die Richtlinie zum Schutz personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhü-tung, Aufdeckung, Untersuchung oder Verfolgung von Straftaten oder der Strafvoll-streckung sowie zum freien Datenverkehr in Kraft. Diese enthält vor allem Regelun-gen für Polizei und Teile der Justiz. Die Konferenz der unabhängiRegelun-gen Datenschutz-behörden des Bundes und der Länder kommentierte auch diesen Textentwurf kritisch (siehe Anlage 34). Jedoch wurde der Anwendungsbereich der Richtlinie infolge ei-nes weiten Begriffs der Gefahrenabwehr zulasten der Datenschutz-Grundverordnung ausgeweitet. Im Unterschied zu einer europäischen Verordnung ist bei einer europäi-schen Richtlinie die Umsetzung durch den nationalen bzw. Landesgesetzgeber wei-terhin erforderlich. Der Landesbeauftragte wird die Formulierung der Umsetzungsge-setze auch in diesem Bereich aktiv unterstützen.
3.1.2 Beschäftigtendatenschutz
Im XI. Tätigkeitsbericht (Nr. 3.1.2) hatte der Landesbeauftragte über die Bemühun-gen berichtet, auf dem Gebiet des Beschäftigtendatenschutzes zu einer umfassen-den gesetzlichen Regelung zu gelangen. Bisher ist es jedoch bei der Ausgestaltung des § 32 BDSG geblieben, sodass weiterhin nur aus der vielfältigen Rechtsprechung Erkenntnisse über die Rechtslagen im Beschäftigtendatenschutz zu gewinnen sind.
Insoweit steht der Landesbeauftragte im Austausch mit den anderen Aufsichtsbehör-den, beobachtet die Rechtsprechung und berät die öffentlichen und nicht-öffentlichen Stellen, u. a. in Einzelfällen und durch Broschüren oder Vorträge. Auch erging die Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 27. und 28. März 2014 „Beschäftigtendatenschutzgesetz jetzt!“ (Anla-ge 9). Es müssen drin(Anla-gend (Anla-gesetzliche Standards (Anla-geschaffen werden, um sowohl die Rechtssicherheit für die Arbeitgeber zu erhöhen als auch einen wirksamen Grundrechtsschutz für die Beschäftigten sicherzustellen. Die Europäische Daten-schutz-Grundverordnung bekräftigt mit einer Öffnungsklausel für den Regelungsbe-reich des Beschäftigtendatenschutzes den Handlungsbedarf auf mitgliedstaatlicher Ebene.
3.1.3 DSG LSA
Auf die Erarbeitung eines Entwurfs eines Gesetzes zur Dritten Änderung daten-schutzrechtlicher Vorschriften und die vorausgehenden Beschlüsse des Landtages ist der Landesbeauftragte bereits im XI. Tätigkeitsbericht (Nr. 3.1.5) eingegangen.
Bei den dort beschriebenen Verbesserungen im Detail ist es im Wesentlichen
geblie-ben. Lediglich die zunächst angedachte Regelung, die auf die Verschlüsselung im Zusammenhang mit „Cloud Computing“ abzielte, rief im Laufe der Beratungen des Gesetzentwurfs im Landtag Bedenken hervor, denen sich der Landesbeauftragte letztlich anschloss. Auftraggeber von Datenverarbeitungen bedienen sich gelegent-lich auch sogenannter Public Clouds, die, wie bekannt geworden war, teilweise unbe-fugten Zugriffen unterlagen. Die grundsätzlich in die richtige Richtung zielende Rege-lung hätte ggf. doch keinen hinreichenden Datenschutz gebracht.
Das geänderte Datenschutzgesetz Sachsen-Anhalt vom 21. Juli 2015 (GVBl. LSA S. 365) ist Teil der Bekanntmachung der Neufassung vom 13. Januar 2016 (GVBl.
LSA S. 24).
Einen besonderen Aspekt des Gesetzgebungsverfahrens stellten die optisch-elektronischen Einrichtungen zur Wildbeobachtung dar (sogenannte Wildkameras).
Es sollte eine Regelung für Behörden getroffen werden (zu Wildkameras im nicht-öffentlichen Bereich hatte sich der Landesbeauftragte im XI. Tätigkeitsbericht, Nr. 4.17.6, ausführlich geäußert; siehe auch unten Nr. 15.2.13). Ihre Aufstellung soll insbesondere Erkenntnissen zur Verbreitung des Luchses im Harz und die Auswir-kung auf Bestände anderer Wildarten dienen. Hierzu war zunächst eine Aufnahme einer Regelung in das DSG LSA angedacht. Der Landesbeauftragte hat sich gegen diesen Regelungsort ausgesprochen. Abschließend wurde eine Regelung in das Landesjagdgesetz aufgenommen.
Durch Wildkameras können nicht nur Tiere, sondern auch Menschen aufgenommen werden. Art und Zeit der Nutzung von Wald und Flur werden so gegebenenfalls per-sonenbezogen bzw. personenbeziehbar festgehalten; auch ist das Recht am eigenen Bild betroffen. Deshalb hat der Landesbeauftragte Vorschläge zu einschränkender sachdienlicher Bestimmtheit der gesetzlichen Voraussetzungen gemacht. Weiter hat er sich für eine Angleichung an die Regelungen des DSG LSA zu optisch-elektronischer Beobachtung ausgesprochen. Damit sollte sichergestellt werden, dass dort, wo mit dem Aufenthalt von Personen im Aufnahmebereich zu rechnen ist, das Aufstellen einer solchen Kamera von vornherein ausgeschlossen ist. Im Übrigen ist vorgesehen, für den dann wohl äußerst seltenen Fall der Aufnahme eines Menschen diese sofort zu löschen. Die Vorschläge fanden Eingang in den Gesetzestext (Gesetz vom 21. Juli 2015, GVBl. LSA S. 365, 368).
Ein weiterer Schwerpunkt der Erörterungen im Gesetzgebungsverfahren war der As-pekt der europarechtlich vorgegebenen Unabhängigkeit des Landesbeauftragten. Die Unabhängigkeitsfrage gewann Bedeutung angesichts einer Änderung des Bundes-datenschutzgesetzes, die aufgrund europarechtlichen Anpassungsbedarfs erfolgte.
Dazu erging die Entschließung der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 8. und 9. Oktober 2014 „Unabhängige und effektive Da-tenschutzaufsicht für Grundrechtsschutz unabdingbar“ (Anlage 17). Mit dem Zwei-ten Gesetz zur Änderung des BundesdaZwei-tenschutzgesetzes vom 25. Februar 2015 (BGBl. I S. 162) wurde die Bundesbeauftragte für den Datenschutz und die Informa-tionsfreiheit als oberste Bundesbehörde eingerichtet und ausgestattet.
Vor diesem Hintergrund wies der Landesbeauftragte abermals darauf hin, dass im Hinblick auf seine Personalkompetenzen aufgrund der gesetzlichen Gesamtsituation in Sachsen-Anhalt Zweifel bestehen. Die Gefährdung der völligen Unabhängigkeit der Datenschutzaufsicht infolge denkbarer Einwirkungen im Personalbereich war
Gegenstand einer Entscheidung des EuGH vom 16. Oktober 2012 (Az. C-614/10).
Ein weiterer wesentlicher Aspekt der Unabhängigkeit betrifft die finanzielle und per-sonelle Ausstattung des Landesbeauftragten (vgl. Anlage 41). Da der Landesbeauf-tragte nicht als oberste Landesbehörde eingerichtet ist, kann das Verfahren zur Haushaltsanmeldung ebenfalls zu Beeinträchtigungen der Unabhängigkeit führen.
3.2 Europäische und internationale Entwicklungen 3.2.1 Safe Harbor
Sofern nicht bestimmte Ausnahmetatbestände des § 4c Abs. 1 BDSG vorliegen, sind Datenübermittlungen in das außereuropäische Ausland, welches über kein ange-messenes Datenschutzniveau verfügt, nur zulässig, wenn ausreichende Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte gemäß § 4c Abs. 2 BDSG vorliegen. Diese Garantien könnten durch Verwendung sogenannter Standardvertragsklauseln, verbindlicher Unterneh-mensregelungen oder Einzelverträge geschaffen werden. Auch die Safe-Harbor-Entscheidung der Europäischen Kommission (Abl. L 215 vom 25. August 2000, S. 7) sollte für Unternehmen aus den USA die Möglichkeit bieten, entsprechende Garan-tien zu geben.
Bereits im XI. Tätigkeitsbericht (Nr. 3.1.1) wies der Landesbeauftragte auf die daten-schutzrechtliche Problematik im Zusammenhang mit der Safe-Harbor-Entscheidung der Europäischen Kommission hin. Er kritisierte insbesondere, dass US-Unternehmen sich selbst gegenüber dem dortigen Handelsministerium verpflichteten, die Safe-Harbor-Prinzipien einzuhalten und sich damit selbst einen angemessenen Datenschutz gemäß der Europäischen Datenschutzrichtlinie attestieren konnten. Zu-dem vertrat der Landesbeauftragte die Ansicht, dass angesichts der bekannt gewor-denen Informationen zu umfassenden und anlasslosen Überwachungsmaßnahmen von Geheimdiensten kein angemessenes Datenschutzniveau gewährleistet werde.
Hierauf wies auch die Datenschutzkonferenz in ihrer Entschließung vom 18. und 19. März 2015 hin (Anlage 22).
Der Europäische Gerichtshof (EuGH) hat mit seinem Urteil vom 6. Oktober 2015 (Rs.
C-362/14, ZD 2015, 539) die Safe-Harbor-Entscheidung der Kommission aufgeho-ben. Kläger in diesem Verfahren war ein österreichischer Facebook-Nutzer. Wie bei allen Facebook-Nutzern (auch den zahlreichen aus Sachsen-Anhalt) wurden auch seine personenbezogenen Daten von der irischen Tochtergesellschaft an Server, die sich in den USA befinden, übermittelt und dort verarbeitet. Zuvor hatte die irische Datenschutzbehörde seine Beschwerde mit der Begründung zurückgewiesen, die Kommission habe in ihrer Safe-Harbor-Entscheidung festgestellt, dass die USA im Rahmen von Safe Harbor ein angemessenes Schutzniveau der übermittelten perso-nenbezogenen Daten gewährleisten.
In seiner Entscheidung stellt der EuGH zunächst fest, dass die Existenz einer Ent-scheidung der Kommission, in der festgestellt wird, dass ein Drittland ein angemes-senes Datenschutzniveau gewährleistet, die Befugnisse der Aufsichtsbehörden nicht beschränke. Daraus folgt, dass die Datenschutzbehörden ungeachtet von Kommissi-onsentscheidungen nicht gehindert sind, in völliger Unabhängigkeit die Angemes-senheit des Datenschutzniveaus in Drittstaaten zu beurteilen.
Weiterhin stellt der EuGH fest, dass eine Regelung, die es den Behörden gestattet, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, ohne irgendeine Einschränkung, Differenzierung oder Ausnahme festzulegen, den Wesensgehalt des durch Art. 7 der Grundrechtecharta garantierten Grundrechts auf Achtung des Privat-lebens verletze. Zusätzlich sei der Wesensgehalt des in Art. 47 der Grundrechtechar-ta verankerten Grundrechts auf wirksamen gerichtlichen Rechtsschutz verletzt, da nach der Safe-Harbor-Entscheidung keine Möglichkeiten für den Bürger vorgesehen sind, mittels Rechtsbehelf Zugang zu den ihn betreffenden Daten zu erlangen bzw.
ihre Berichtigung oder Löschung zu erwirken.
Durch dieses Urteil wird deutlich, dass Datenübermittlungen in die USA, die sich ausschließlich auf Safe Harbor stützen, nicht zulässig sind. Der Landesbeauftragte wird, sofern er Kenntnis von derartigen Übermittlungen erlangt, diese untersagen.
Die Entscheidung dürfte sich auch auf die Verwendung von Standardvertragsklau-seln, verbindlichen Unternehmensregelungen oder Einzelverträgen auswirken. Vieles spricht dafür, dass auch hier die Datenübermittlungen problematisch sein können. In diese Richtung zielt auch das Positionspapier der Datenschutzkonferenz vom 26. Oktober 20152.
Unternehmer sind daher aufgerufen, unverzüglich ihre Verfahren zum Datentransfer in Drittstaaten zu überprüfen und entsprechend den Anforderungen des EuGH-Urteils zu gestalten. Von Bedeutung könnte sein, ob in den unterschiedlichen Ver-tragswerken bestimmte technische und organisatorische Maßnahmen zugesichert werden, die einen unverhältnismäßigen Zugriff von Sicherheitsbehörden praktisch ausschließen. Bei Nutzung einer Cloud eines amerikanischen Anbieters wäre die Orientierungshilfe „Cloud Computing“ vom 9. Oktober 2014 der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises zu beachten. Bei sogenannten Storage-Diensten wird insbesondere die Inhaltsver-schlüsselung empfohlen, bei der der Cloud-Anbieter keinen Zugriff auf den Schlüssel hat. Durch geeignete Wahl von Algorithmen und Schlüssellängen kann man hier ei-nen langwährenden Schutz erreichen.
Die Europäische Kommission verhandelte mit den USA über ein neues Abkommen, welches die Safe-Harbor-Entscheidung ablösen soll. In ihrem oben erwähnten Posi-tionspapier vom 26. Oktober 2015 hat die Datenschutzkonferenz die Kommission aufgefordert, auf die Schaffung weitreichender Garantien zum Schutz der Privatsphä-re zu drängen. Dies betrifft insbesondePrivatsphä-re das Recht auf gerichtlichen Rechtsschutz, die materiellen Datenschutzrechte und den Grundsatz der Verhältnismäßigkeit.
Die Verlautbarung der Europäischen Kommission von Anfang Februar 2016 lässt Zweifel bestehen, ob in dem beabsichtigten Nachfolgeabkommen „EU-US Privacy Shield“ die Vorgaben des Urteils des EuGH vom 6. Oktober 2015 umfassend be-rücksichtigt werden. Dies betrifft insbesondere die Durchsetzung der Betroffenen-rechte vor US-Gerichten; ein Ombudsmann dürfte nicht ausreichend sein. Auch stellt sich die Frage nach der Verbindlichkeit des Abkommens und damit der Verhinderung massenhafter Zugriffe von US-Sicherheitsbehörden. Die Artikel 29-Gruppe begleitet
2 http://lsaurl.de/SafeHarborUrteil
den Verhandlungsprozess kritisch; einstweilen werde die Anwendung von Standard-vertragsklauseln und verbindlichen Unternehmensregelungen weiter geduldet.
3.2.2 FATCA
Im XI. Tätigkeitsbericht (Nr. 3.2.2) berichtete der Landesbeauftragte über FATCA.
Dies ist ein Gesetz der USA, mit welchem Meldepflichten für Finanzinstitute in aller Welt eingeführt wurden, in Bezug auf Konten von in den USA steuerpflichtigen Per-sonen und Gesellschaften.
Mit einem Bundesgesetz vom 18. Dezember 2013 wurde dafür die rechtliche Über-mittlungsgrundlage in § 117c Abgabenordnung (AO) geschaffen (BGBl. I S. 4318, 4333). Dabei verweist § 117c AO auf § 150 Abs. 6 AO, wodurch sichergestellt ist, dass ein sicheres Verfahren für die Übermittlung der Daten angewandt wird, welches die Integrität und die Vertraulichkeit der Daten gewährleistet.
3.2.3 Flugpassagierdaten
Wie im XI. Tätigkeitsbericht (Nr. 3.2.3) bereits vermutet, wurden auch im vergange-nen Berichtszeitraum weitere Abkommen zur Übermittlung von Flugpassagierdaten zwischen der Europäischen Union und verschiedenen Ländern geschlossen. So be-steht nunmehr auch ein Abkommen mit Kanada und Mexiko. Aber auch Russland hat Interesse an einem solchen Abkommen gezeigt. Hier konnte die Übermittlung bisher auf die Daten beschränkt werden, die ohnehin aus einem Pass auslesbar sind.
Die Kritik der Datenschutzbeauftragten an diesen Abkommen besteht noch immer in der anlasslosen langen Speicherung von vielen verschiedenen Datensätzen und de-ren Auswertungsmöglichkeiten.
Durch die aktuellen Entwicklungen in der Welt, vor allem die Attentate und Terroran-schläge in Paris, gaben nunmehr weitere EU-Abgeordnete ihren Widerstand gegen die Flugpassagierdatenübermittlung auf. Dabei wird auch wieder über ein innereuro-päisches System des Datenaustausches zur Terrorabwehr gesprochen. Eine Spei-cherung der Daten sollte in einem solchen System nur 30 Tage unter dem Klarna-men des Reisenden gestattet werden. Jedoch wurde diese kurze Speicherfrist unter dem Eindruck der Terroranschläge in Paris gekippt.
Die EU-Innenminister haben nunmehr den Weg für eine Flugpassagierdatenspeiche-rung freigemacht, wonach jeder Staat eine Kontaktstelle aufbaut, welche die Daten
Die EU-Innenminister haben nunmehr den Weg für eine Flugpassagierdatenspeiche-rung freigemacht, wonach jeder Staat eine Kontaktstelle aufbaut, welche die Daten